С транни имейли от Google: Какво е това и трябва ли да ги отворите?
Фишингът е опасна игра, която набира скорост с всяка изминала година: щом технологичните компании блокират една измамна схема, на нейно място веднага се появява нова. В момента нов фишинг имейл стана вирусен и успява да премине проверките на Google и Gmail.
Според информация на RBC-Украйна (проект Styler), която цитира публикация от Android Authority, специализирана в новини за Android и технологии, случаят е настъпил наскоро.
Подробности за фишинг атака по Gmail
Разработчикът Ник Джонсън съобщи в Twitter, че е станал жертва на сложна фишинг атака, която изглежда е изпратена от Google. Според него, имейлът е бил изпратен от no-reply@accounts.google.com и също така е бил подписан като accounts.google.com. Интересно е, че Gmail не е показал никакви предупреждения по отношение на имейла.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
В съдържанието е имало линк към страница в sites.google.com, която на пръв поглед изглежда легитимна, но всъщност се оказва фалшива страница за поддръжка. Google Sites е официална услуга на Google, предназначена за създаване на уебсайтове. Нападателите вероятно са избрали именно тази платформа, за да заблудят потребителите и да създадат впечатлението, че се намират на официална страница на Google.
Когато потребителят кликне върху бутоните "Заявка за преглед" или "Качване на допълнителни документи", той е отведен на фалшива страница за вход, хоствана на същите sites.google.com.
Джонсън твърди, че тази атака е възможна поради две уязвимости, които Google първоначално отказал да коригира.
Първо, той предложи компанията да деактивира скриптовете и изпълнението на произволен код на страниците на Google Sites.
Второ, той изразява загриженост относно факта, че имейлът е подписан с accounts.google.com.
Как нападателите манипулират системата
Ако се вгледате внимателно в полето "mailed-by", можете да видите, че имейлът всъщност идва от домейна privateemail.com. Оказа се, че нападателите са регистрирали собствен домейн и са създали акаунт в Google, свързан с него. След това те създадоха приложение на Google OAuth и посочиха текста на фишинг имейла като име на приложението. След като достъпиха профила си в Google, те успешно изпратиха защитен имейл от името на Google, който в последствие достигна до жертвите.
Джонсън съобщи за уязвимостта, но Google първоначално затвори доклада, твърдейки, че това поведение е стандартно. По-късно обаче компанията промени решението си и се ангажира да реши проблема с удостоверяването.
Независимо от всичко, това е много правдоподобна фишинг атака и потребителите трябва да бъдат особено внимателни. Интересно е да се спомене, че подобна схема е била докладвана и преди: тогава на потребителите са изпращани фалшиви имейли за възстановяване на сигурността, предполагаемо изпратени от името на Google, а също така са били получавани и обаждания с фалшиви номера за поддръжка на Google.
